Käepideme "Pl0xP" juures olev häkker kloonis suure hulga GitHubi hoidlaid ja muutis veidi kloonitud hoidlate nimesid, püüdes kehastuda legitiimsete projektidega – seega potentsiaalselt nakatada mis tahes tarkvara, mis koodi importis, ütlesid tarkvaraeksperdid täna.
Laialdase kloonimise tulemusena sisestati erinevatesse koodihoidlatesse üle 35,000 XNUMX pahatahtliku URL-i, kuigi mõjutatud tarkvaraprojektide täpne arv on tõenäoliselt palju väiksem, märkis tarkvarainsener Stephen Lacy varahommikuses Twitteri postituses. Rünnak, selle variant sõltuvuse segadus, oleks võinud tekitada probleeme arendajatele, kes kasutavad võltsitud GitHubi hoidlaid ilma tarkvaraallika piisava kontrollimiseta, ütles ta.
Impordimisel käivitab pahatahtlik kood Lacy sõnul süsteemis koodi. "See rünnak saadab skripti, rakenduse, sülearvuti (elektronirakendused) KOGU ENV-i ründaja serverisse! ENV-de hulka kuuluvad: Turvavõtmed; AWS-i juurdepääsuvõtmed; Krüptovõtmed… palju muud.
„ENV-d” on keskkonnamuutujad, mida kasutatakse teabe salvestamiseks, millele arendajad soovivad oma töövoogudes viidata.
Tarkvarainsener leidis pahatahtliku funktsiooni, kui ta auditeeris tarkvarateeki, mille ta kaalus oma projekti kaasamist, ütles Lacy.
"Avastasin ärakasutamise, kui vaatasin üle projekti, mille leidsin Google'i otsingust," ta säutsus. "Seetõttu me ei installi Internetist juhuslikke pakette!"
Kloonimine või "hargimine" ei ole uus pahatahtlik tehnika, kuid see on keeruline.
"Halbasid tegijaid on juba varem tuntud pahatahtliku koodiga kloonitud/kahveldatud populaarsete hoidlate loomise eest," ütleb Aqua Security tarkvarainsener Mor Weinberg. "Seda võib üsna raske märgata, kuna kloonitud hoidlad võivad säilitada algsete autorite kasutajanimede ja e-posti aadressidega koodikohustusi, jättes eksitava mulje, nagu oleks uuemaid kohustusi teinud ka esialgsed projekti autorid. Autentsete projekti autorite GPG-võtmetega allkirjastatud avatud lähtekoodi tagatised on üks viis koodi autentsuse kontrollimiseks.
"See … sarnanes sellega, et keegi püstitab võltsveebisaidi või saadab andmepüügimeili," lisab ArmorCode'i toodete asepresident Mark Lambert. "See püüab kinni inimesed, kes ei pööra tähelepanu."
Rünnak või õigustatud uurimine?
See GitHubi massiline hargnemine ei pruukinud olla tõeline rünnak. Isik, kes väitis, et tal on sellest probleemist teadlik, positsioneeris laialdaselt levinud kirjapilt õigustatud uurimistööna.
"See on lihtsalt vigade eest tasumine. kahju pole tehtud. Aruanne avaldatakse,” a Twitteri kasutaja nimega "pl0x_plox_chiken_p0x" säutsus 3. augustil.
Kuigi halvasti läbimõeldud uurimisprojekt võib rünnakut selgitada, tundub tuhandete koodimuudatuste loomine teadusuuringute jaoks irratsionaalselt riskantne. Veelgi enam, Twitteri kasutaja oli konto registreerinud ainult viimase kolme päeva jooksul – lühike konto eluiga on sageli petturlike veebiisikute tunnus.
Väide, et rünnak on osa vearahast, "ootab tõestamist, kuna sellel tegevusel on pahatahtliku kavatsusega inimese tunnused," ütleb tarkvaraturbefirma Checkmarx tarneahela turbeinseneri juht Jossef Harush Darkile. Lugemine.
Igal juhul märgib vigade eest vastutava platvormi Bugcrowd turbeoperatsioonide vanemdirektor Michael Skelton, et vähemalt algsed koodihoidlad jäid puutumata.
"Kuigi pole selge, milline oleks Pl0xP vearaha leidmise olemus (kuna sotsiaalne manipuleerimine on peaaegu kõigi vigade eest vastutavate programmide jaoks väljas), tundub, et nad kloonisid mitmeid hoidlaid ja tegid nendes kloonides oma muudatused. ainult – see muudatus ei jõudnud ühelgi juhul algsetesse kloonitud hoidlatesse,” ütleb ta. "Hoidla kloonimine on standardtoiming, mis ei mõjuta algset hoidlat, välja arvatud juhul, kui omanik ühendab tagasi muudatuse (taotletakse tõmbepäringu kaudu), mida siin ei tehtud."
Pahatahtliku tarkvara sõltuvusi on palju
Näiliselt puhastas GitHub pahatahtliku koodi toimepanemised ja 3. augusti pärastlõuna seisuga ei andnud manustatud halva URL-i otsing nulli tulemust. Kuid rünnak on vaevalt esimene kord, kui avatud lähtekoodiga projektid on ründajatega kokku puutunud. Tarkvara tarneahela vastu suunatud rünnete arv hüppas 650. aastal 2021%., mille põhjuseks on peamiselt sõltuvus-segaduse rünnakud, kus ründaja kasutab peaaegu identse nimega avatud lähtekoodi ploki versiooni lootuses, et arendajad sisestavad soovitud teegi või komponendi nime valesti või ei märka väikest erinevust nomenklatuuris.
Hoidlate külvamine pahatahtlike ja valesti nimetatud projektidega nõuab ründajalt eeltööd. Juulis paljastas tarkvaraturbefirma Checkmarx viisi, kuidas GitHubis võltsitud arendajakontosid luua, koos aktiivse koodi sisseviimise ajalooga suurendada nende usaldusväärsust. See tehnika ja uusim rünnak rõhutavad, et hooldajad peavad astuma samme, et aktsepteerida ainult allkirjastatud koodikohustusi, ütleb Harush. Arendajad peavad olema ettevaatlikud tõmbamistaotluste ja kaastööde suhtes, millel on kahtlased kontrollimata kohustused, [ja peavad] üle vaatama … kaastööde sisu võrreldes kohustustest loobumise sõnumis ja kaastöödega, mis lisavad või muudavad olemasolevaid sõltuvusi sarnase nimega sõltuvustele osana panus,” lisab ta.
Ära usalda, kontrolli
Et vältida nende projektide mürgitamist, peaksid hooldajad ja arendajad usaldama ainult neid panustajaid, kes on neile teada ja kellel on ulatuslik ja kontrollitav kohustuste ajalugu. Harush ütleb, et nad peaksid oma kontode kaitsmiseks kasutama ka olemasolevaid tööriistu, nagu digitaalallkirjad ja mitmefaktoriline autentimine.
"Nagu te ei tohiks võõraste kommi usaldada, ärge usaldage võõraste koodi," ütleb ta. "Kasutajaid võidakse kandidaatprojekti hindamisel petta ja nad arvavad, et nad on legitiimsed, [nii] nad kasutavad seda oma kohalikes arendusarvutites, loovad keskkondi, tootmiskeskkondi ja isegi tarkvara, [kuni lõpuks käivitavad midagi pahatahtlikku] klientidel. süsteemid]”.
Checkmarxi juulikuu nõuandes identiteedi teabe ja teabe võltsimise kohta git käsurea utiliidi abil rõhutas ettevõte tarkvaraprojektide riske, kui pahatahtlikud toimepanijad maskeerivad end tuntud kaastöötajateks. See muudab projekti usaldusväärseks, teatas firma. "Selle võltsimise teeb veelgi murettekitavamaks asjaolu, et võltsitud kasutajat ei teavitata ja ta ei tea, et tema nime kasutatakse."
GitHub on juba lisanud kaastöölise identiteedi kontrollimiseks koodikohustuste jaoks digitaalsed allkirjad, kuid projekti hooldajad peaksid lubama "valvsusrežiimi", GitHubi funktsiooni, mis kuvab üksikasjad iga kohustuse ja nende kaasautori kinnitusoleku kohta, teatas Checkmarx.
Vähemalt peaksid arendajad ja projekti hooldajad aeg-ajalt oma kohustuste logi üle vaatama ja paluma teistel hooldajatel lubada GPG-ga allkirjastatud kohustused, ütleb Harush. "Allkirjastatud kohustuste logiga harjumine aitab teil pöörata tähelepanu kontrollimata panustele."
GitHubiga ei õnnestunud kohe kommentaari saamiseks ühendust saada.
